웹 애플리케이션의 주요 보안 취약점 발생 사례 분석과 시사점

웹 애플리케이션의 주요 보안 취약점 발생 사례 분석과 시사점

2024. 4. 29. 13:26ㆍetc_study/논문 분석

📌 논문선정이유

1. 웹 애플리케이션의 사용률이 많이 높아진 지금, 앞으로도 관련산업은 점점 커질 것이고, 그렇기때문에 보안위협으로 안전할 수 없다는 생각이 들었다.

2. 그래서 해당 논문을 통해 웹 애플리케이션과 관련된 주요 취약점과 그에 대한 사례, 시사점 그리고 미래의 웹 애플리케이션 보안에 대해 어떠한 자세를 가져야할지 등에 대한 생각을 해볼 수 있는 기회라고 생각해서 선정하게되었다.

✅서론 및 연구 배경

다양한 분야의 웹 애플리케이션 사용량 증가
사용량 증가와 더불어 일어나는 해킹사고, 개인정보 유출 및 기타 보안위협 증가 및 보안 강화에 대한 중요성 증가
웹 애플리케이션 배포 전 단계에서 보안 취약점 식별 및 위협 최소화를 위한 설계, 시큐어 코딩의 필요성
빈번한 취약점 분석의 필요성

✅웹 애플리케이션 보안의 이해

웹 애플리케이션 및 취약점 정의

➡️정의 및 특징 정리

웹 애플리케이션이란 인터넷 또는 인트라넷과 같은 네트워크를 통해 액세스되는 응용 프로그램을 말한다.
웹 브라우저 내 또는 웹 브라우저가 제어 가능한 환경에서 실행, 웹 브라우저가 실행가능한 프로그래밍 언어를 사용하여 마크업 언어를 결합해 만들어진다.
웹 브라우저를 통해 접근, 다양한 플랫폼에서 호환가능, 사용이 편리하고 유지보수가 용이하다.

➡️취약점 (시스템 또는 프로그램에 내재되어 있는 버그를 의미, 이를 악용한 시스템에 침입하여 정보 유출, 시스템 파괴 등 유발)

➡️ 웹 애플리케이션의 주요 보안 위협 및 취약점 (OWASP TOP 10)

OWASP(Open Web Application Security Project)는 웹 애플리케이션의 보안 향상을 목표로 하는 국제 비영리 조직이다.

웹 애플리케이션의 보안 취약점 중에서 가장 빈번하게 발생하고 보안에 중대한 영향을 미치는 10가지를 선정 내용은 아래와 같다.

🔻웹 애플리케이션 OWASP TOP 10 2021

A01 : Broken Access Control (접근 권한 취약점)

A02 : Cryptographic Failures (암호화 오류)

A03: Injection (인젝션)

A04: Insecure Design (안전하지 않은 설계)

A05: Security Misconfiguration (보안설정오류)

A06: Vulnerable and Outdated Components (취약하고 오래된 요소)

A07: Identification and Authentication Failures (식별 및 인증 오류)

A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)

A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)

A10: Server-Side Request Forgery (서버 사이드 요청 위조)

🔻 ISO/IEC 25023의 보안성 품질 측정 항목

측정 항목	설명
기밀성	제품이나 시스템이 접근 권한을 가진 사람만이 무결성 데이터에 접근할 수 있도록 하는 정도를 평가
무결성	스템, 제품 또는 컴포넌트가 컴퓨터 프로그램이나 데이터에 대한 권한 없는 접근 또는 변경을 방지하는 정보를 평가
부인 방지성	어떤 행위나 사건의 발생을 나중에 부인할 수 없도록 이를 증명할 수 있는 정도를 평가
책임성	어떤 개체의 행위가 그 개체에 의해 일어난 것을 추적할 수 있는 정도를 평가
인증	주체 혹은 자원의 신원이 자기라고 주장하는 바가 맞다는 것을 입증할 수 있는 정도를 평가

✅ 웹 애플리케이션 보안 취약점 발생 사례 분석

🔻웹 애플리케이션 보안 취약점 분석 기법

정적 분석)

소스 코드를 분석하여 보안 취약점을 검출하는 방법

동적 분석)

웹 애플리케이션을 실제로 실행하고 실행 중에 보안 취약점을 식별하는 분석 방법

🔻 보안 취약점 발생 사례 분석 결과

➡️ 웹 애플리케이션 보안 취약점 진단 결과

순위	주요 보안 취약점	OWASP TOP 10 2021
1	오래된 버전의 오픈소스 사용	A06
2	취약한 암호화 알고리즘 사용	A02
3	암호화되지 않은 중요 정보	A02
4	입력값 검증 누락	A01, A03
5	오류 메시지 정보 노출	A05
6	중요한 자원에 대한 잘못된 권한 설정	A05

1) 오래된 버전의 오픈소스 사용

대다수의 상용 웹 애플리케이션에서 JQuery, Apache, Tomcat, NginX 등 보안 취약점이 내재된 오픈소스를 사용중인 것으로 분석되었다.

오래된 버전의 오픈 소스를 사용할 경우, 해커가 해당 오픈소스의 알려진 웹 취약점을 이용하여 웹 애플리케이션에 침입하거나 중요 데이터를 탈취할 수 있게 되는 된다.

2) 취약한 암호화 알고리즘 사용

웹 어플리케이션에서 사용되는 대표적인 로그인 수단으로 아이디/비밀번호 방식을 사용한다.

비밀번호는 중요 정보에 속하기 때문에 안전한 암호화 알고리즘으로 암호화해야 하지만, 일부 상용 웹 애플리케이션에서는 취약한 것으로 알려진 단방향 암호화 알고리즘(MD5, SHA-1)으로 비밀번호를 암호화하고 있는 것이 확인되었다.

3) 암호화되지 않은 중요 정보

일부 상용 웹 애플리케이션에서는 로그인 정보를 서버로 전송할 때, 암호화하지 않고 HTTP를 통해 전송하는 것으로 확인되었다.

HTTP로 데이터를 송수신할 경우 비밀번호 등과 같은 중요 정보 전송 시, 네트워크 패킷이 암호화되지 않아 해커가 와이어샤크 와 같은 스니핑 도구를 사용하여 중요 정보를 탈취할 수 있는 문제점이 존재한다.

4) 입력값 검증 누락

다수의 웹 애플리케이션에서 URL 주소 또는 HTTP 요청 헤더에 XSS(Cross Site Script)를 입력하여 서버로 전송 시 해당 스크립트가 실행되거나, 로그인 시 비밀번호 입력필드에 SQL문을 입력하여 로그인에 성공하는 등의 취약점이 발견되었다.

신뢰할 수 없는 입력 데이터를 받거나 데이터를 검증을 하지 않을 경우 SQL 삽입, 크로스 사이트 스크립팅 등 다양한 보안 공격에 노출되고 데이터 손상 등의 심각한 보안 사고로 이어질 수 있다.

5) 오류 메시지 정보 노출

웹 애플리케이션은 사용자 입력 오류, 네트워크 오류 등의 다양한 상황에서 오류가 발생할 수 있다. 이 때, 에러를 처리하지 않거나 불충분하게 처리하여 에러 정보에 시스템 내부 정보 등의 중요 정보가 포함될 경우, 해커에게 애플리케이션의 내부 정보를 공개하고 이는 악용하는데 사용될 수 있다

6) 중요한 자원에 대한 잘못된 권한 설정

중요 정보를 암호화하는 만큼 중요 자원에 대한 적절한 권한을 설정하는 것은 민감한 데이터를 안전하게 보호하는 핵심 요소 중 하나이다

비인가자에게 의도치 않은 권한을 허가하게 될 경우, 권한을 갖지 않은 사용자가 해당 자원을 사용할 수 있어 권한 관리는 접근 제어와 데이터 보안에 필수적이다. 하지만, 실제 사례 분석 결과 DB 사용자가 관리자 권한을 보유하고 있어 테이블 생성/삭제 또는 데이터 백업/복원 등의 작업을 실행할 수 있는 보안 취약점이 다수 발견되었다.

✅ 취약점 제거를 위한 해결책

1) 항상 최신 보안 패치가 적용된 오픈소스를 사용해야 하기

2) 비밀번호를 보호하기위해 비밀번호를 안전한 해시 알고리즘(SHA-256 이상)을 통해 솔트값을 적용한 후 단방향 암호화하여 DB에 안전하게 저장하기

3) 안전한 데이터 전송을 위해 HTTPS와 같은 암호화된 채널을 통하거나 데이터가 탈취되어도 중요 정보가 노출되지 않도록 암호화하여 서버에 전송하기

4) 입력 값을 통한 공격(인젝션)의 경우, 공격 문자열로 특수문자를 사용하기 때문에 외부로부터 입력 받은 값은 반드시 특수문자를 필터링 후 사용하기

5) 스택과 같이 시스템 내부 정보는 해커가 웹 애플리케이션 및 시스템을 해킹하기 위한 주요한 정보가 되기 때문에 해당 정보가 노출되지 않도록 하기

6) 웹 애플리케이션이 DBMS에 연동할 때 DBA 계정을 사용할 경우, 해커는 DBA 권한을 이용하여 모든 데이터를 조작 및 탈취할 수 있기 때문에, 웹 애플리케이션이 접근해야 하는 DB 테이블만 사용할 수 있도록 계정 권한을 최소화하여 사용하기

✅ 결론

OWASP TOP 10과 비교해 보았을 때, 상위 항목에 있는 웹 취약점들이 분석 결과와 다소 다름을 확인할 수 있었다

개발 기업들의 웹 애플리케이션 보안성 품질에 대한 인식이 개선되었고, 다수의 상용 웹 애플리케이션이 전자정부 프레임워크, Spring 프레임워크, MyBatis 등 검증된 오픈소스를 사용함으로써 인젝션, 접근 권한 취약점 등의 보안 취약점은 상대적으로 발생 빈도가 높지 않았다.

그러나, 상용 웹 애플리케이션의 오픈소스 사용률 상승으로 인해 웹 애플리케이션을 구성하고 있는 오픈소스의 취약점을 통한 공격이 크게 증가하고 있어, 웹 애플리케이션에서 사용하는 오픈소스의 보안 취약점 관리는 필수적이라고 볼 수 있다.

✅느낀점

웹 애플리케이션의 사용증가와 더불어 다양한 보안위협들을 확인 할 수 있었다.

나는 사용자의 입장이자, 보안담당자의 입장으로 생각했을 때 어떠한 부분이 웹 애플리케이션을 안전하게 사용하기위해 사전에 대비해야할지, 사후에 관리해야할 지 고민을 해볼 수 있는 논문이었다.

이와 관련된 주요 취약점과 OWASP TOP 10과 같은 자료들을 살펴보면서 차이점과 공통적인 부분을 비교해볼 수 있었고, 그에 대한 대비책을 살펴보면서 취약점과 대응하는 대비책이 어떤 식으로 구성되는지도 학습할 수 있는 기회가 되었다.

✅분석 논문

웹 애플리케이션의 주요 보안 취약점 발생 사례 분석과 시사점.pdf

0.70MB

'etc_study > 논문 분석' 카테고리의 다른 글

2024년 2학기 논문분석_5주차 과제(LockPickFuzzer: ADB 기반 퍼징 기법을 활용한안드로이드 잠금 화면 메커니즘의 취약점) (4)	2024.11.13
2024년 2학기 논문분석_1주차 과제(사이버 킬 체인 기반 악성코드 공격 사례 분석) (4)	2024.09.24
XAI를 이용한 CNN 기반 리눅스 악성코드 탐지 (0)	2024.05.27
이더리움 스마트 컨트랙트 보안 취약점 분석 및 대응방안에 대한 연구 (1)	2024.05.10
NFT 서비스 제공자 보안 수준 점검 항목 중요도 분석을 통한 보안 위협 대응 (0)	2024.03.26

Jootopia : )

Jootopia : )

태그

최근글

댓글

공지사항

아카이브

'etc_study > 논문 분석' 카테고리의 다른 글

관련글

티스토리툴바